Le blog de llaumgui - optimisation - Commentaires

php, base de données et couche d'abstraction 1 (Principe) - badn

badn — Tue, 20 Jun 2006 13:17:04 +0000

je voudrais savoir le nom du driver que utilise php pour se connecter à une base mysql. par exemple ODBC est le driver pour seconnecter a oracle ou access . je voudrais savoir le libellé .merci

Bien débuter le développement d'une application web niveau sécurité - LLaumgui

LLaumgui — Mon, 17 Apr 2006 20:17:18 +0000

Tu récupère tes variables directement à partir du tableau $_GET. Perso, j'utilise un tableau $kernel->_GET perso que je traite (quote, utf, etc...).

Bien débuter le développement d'une application web niveau sécurité - cedras

cedras — Mon, 17 Apr 2006 16:03:04 +0000

C'est vrai que si tu mets pas le else, et que t'es sous register_global = On, tu peux alors passer l'admin via l'url hxxp://www:toto.toto.com/index.php?admin=1 ce qui reviendrait en fait à faire le truc stupid :

$admin = $_GET['admin'];

donc si j'ai bien compris ce qui a été dit je vais conclure que c'est cette ligne qu'on utilise pour initialiser une variable à travers l'url. Sinon, comment faire pour initialiser une variable à partir de l'url

Bien débuter le développement d'une application web niveau sécurité - LLaumgui

LLaumgui — Thu, 05 May 2005 11:52:12 +0000

Oula... Là tu passe admin via hxxp://www:toto.toto.com/index.php?mid=1. Faut plutôt mettre le login et mots de passe (md5) dans le cookie qui génère ton mid dans la session et la tu fais:

if( $_SESSION['mid'] == 1 ){
$admin = 1;
}
else{
$admin = 0;
}

$admin = $_GET['admin'];

Bien débuter le développement d'une application web niveau sécurité - Fantome

Fantome — Thu, 05 May 2005 11:44:46 +0000

Je pense aussi que Register_Global est important mais je rajouterais qu'il faut pense a initialiser une variable si elle doit étre testé.

exemple de code faux (il me semble)
<php
....
if($_GET['mid']==1) $admin = 1;
...
if($admin){
....
}
?>

si je me trope pas et que Register_Global est On on peut ettribuer la valeur 1 a $admin simplement dans l'url. Donc il y a une faille de sécurité il faudrais mettre
<php
...
if($_GET['mid']==1){
$admin = 1;
}else{
$admin = 0;
}...
?>

Merci de me coriger si je me trompe.

Bien débuter le développement d'une application web niveau sécurité - LLaumgui

LLaumgui — Mon, 02 May 2005 08:59:16 +0000

Le problème c'est que même des applications comme phpNuke, ayant pignon sur rues, ne tourne pas en register_global = On... En tout cas c'était le cas la dernière fois que j'ai testé...

Bien débuter le développement d'une application web niveau sécurité - Darken

Darken — Mon, 02 May 2005 01:15:31 +0000

Intéressant, assez clair et efficace. De plus, pour ceux qu'ils veulent tester si leurs scripts tournent sous register_global à Off est de tester leurs scripts en local sous un serveur à register_global à Off.

Ceci ne sera pas pleinement persuasif si le script est bien sécuritaire mais va mettre l'heure juste s'il utilise le global à ON ou bien à OFF... (Disons que c'est une technique extremement primitif mais pour un utilisateur lambda, rapidement pratique pour ce dire : hmmm, fonctionne pas !? hmmm, j'installe pas ça en mode production.) et ça, c'est déjà un bon départ. Sinon, il suffit de vérifier le code.

D'ailleurs, vous pouvez vérifier si votre hébergeur est à ON ou à OFF recherchant ceci dans la configuration (via php_info) : «register_globals - On - On» ou bien «register_globals - Off - Off» et ainsi de suite...

php, base de données et couche d'abstraction 1 (Principe) - LLaumgui

LLaumgui — Mon, 24 Jan 2005 17:54:03 +0000

Dans le constructeur je passe des variables que je peux ensuite utiliser via {variable}

php, base de données et couche d'abstraction 1 (Principe) - moox

moox — Mon, 24 Jan 2005 14:56:28 +0000

Hello
J'ai pas très bien compris ton histoire de modification de classes templates de pear, tu peux me montrer ce que ça donne?
Je crains que fc3 ->fcX ne sera pas prochainement avec mysql 4 ou php5, problème de licences?

php, base de données et couche d'abstraction 1 (Principe) - LLaumgui

LLaumgui — Thu, 20 Jan 2005 17:05:33 +0000

Les bibliothèques Pear sont très bien, mais coder des drivers n'pas bien dur... Donc autant coder ton propre système et le maitriser à 200% afin de l'améliorer :).
Je dois avouer aussi que j'ai hate que FedoraCore 3 passe sous php5/MySQL 4.1/SQLite afin de tester toute la puissance de mon système de drivers ;).

Sinon, j'utilise le système de template de Pear, mais je l'ai amélioré afin qu'il supporte la localisation (Multilanguage) et l'utilisation de constante ({PORTALL_URL} --> url du site tournant sous PortaLL).

En tout cas bravo !!! Ca fait plaisir de voir des débutants en php utiliser le système de couche d'abstraction et coder convenablement... Le php est malheureusement trop simple d'accès et rare sont ceux qui en connaissent toute la puissances !!! php est beaucoup trop considéré comme un sous langage et c'est domage en plus d'être faux !!!

php, base de données et couche d'abstraction 1 (Principe) - moox

moox — Thu, 20 Jan 2005 15:57:35 +0000

Hello. Je débute en php et j'utilise pear::DB comme couche d'abstraction bd. C'est p-e plus simple que de réécrire un driver non ?
pear.php.net/manual/en/pa...
Bravo pour ton site, moi aussi je suis avec fc3